Сведения в данном разделе по внешнему управлению для Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздней версии предполагают наличие базовых представлений о сертификатах PKI. Для получения дополнительных сведений о решениях Microsoft PKI см. следующие ссылки:

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

Для данного решения PKI требуется, чтобы службы сертификатов Microsoft использовали шаблоны сертификатов, выпущенные центром сертификации предприятия. Сертификаты на основе шаблонов могут выпускаться только центром сертификации предприятия, работающим в ОС Windows Server 2003 или Windows Server 2008 выпусков Enterprise Edition или Datacenter Edition. Однако не следует использовать шаблоны версии 3 (Windows Server 2008 Enterprise Edition). Данные шаблоны сертификатов создают сертификаты, не совместимые с Configuration Manager. Дополнительные сведения о развертывании и использовании сертификатов см. в разделе О сертификатах, необходимых для внешнего управления.

Примеры пошаговой настройки этих сертификатов см. в следующих разделах.

Важно!
Действия по настройке сертификатов, описанные в указанных выше разделах, необходимо выполнить прежде, чем можно будет использовать внешнее управление в сайте Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздних версий.

Сертификаты, необходимые для внешнего управления

Сертификаты инфраструктуры открытого ключа (PKI), необходимые для внешнего управления в Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздних версиях, перечислены в следующей таблице.

Компонент Configuration Manager Использование сертификата Используемый шаблон сертификата Microsoft Особые сведения в сертификате Как используется сертификат в программе Configuration Manager

Внешняя точка обслуживания

Обеспечение AMT

Веб-сервер (изменено)

Сервер роли системы сайта внешней точки обслуживания требует наличия разрешений безопасности Windows Читать и Использовать для данного шаблона сертификата.

Значение Расширенное использование ключа должно включать Проверку подлинности сервера (1.3.6.1.5.5.7.3.1) и следующий идентификатор объекта: 2.16.840.1.113741.1.2.3.

Поле имени получателя сертификата должно содержать полное доменное имя сервера, на котором размещена внешняя точка обслуживания.

Примечание
При запросе сертификата обеспечения AMT из внешнего, а не из собственного внутреннего центра сертификации, если он не поддерживает идентификатор объекта обеспечения AMT "2.16.840.1.113741.1.2.3", можно также указать в имени получателя сертификата в качестве атрибута подразделения (OU) следующую текстовую строку: Intel(R) Client Setup Certificate. Помимо полного доменного имени сервера, на котором размещается внешняя точка обслуживания, необходимо использовать точно такую же строку на английском языке, в том же регистре и без точки на конце.

SHA-1 — единственный поддерживаемый хэш-алгоритм.

Поддерживаемый размер ключа: 1024, 1536 и 2048 бит.

Данный сертификат располагается в хранилище Windows Home Edition в хранилище сертификатов компьютера сервера системы сайта внешней точки обслуживания.

Сертификат обеспечения AMT используется для подготовки компьютеров к внешнему управлению. Он настраивается в компоненте внешнего управления и затем автоматически устанавливается на сервере системы сайта внешней точки обслуживания.

Необходимо запросить этот сертификат из центра сертификации, который предоставляет сертификаты обеспечения AMT, а расширение BIOS для компьютеров, основанных на AMT, должно настраиваться с использованием отпечатка корневого сертификата (также называется хэшем сертификата) для данного сертификата обеспечения.

VeriSign — это типичный пример внешнего центра сертификации, который предоставляет сертификаты обеспечения AMT. Можно также использовать и собственный внутренний центр сертификации.

Сервер, на котором размещена внешняя точка обслуживания, должен иметь возможность успешно подключаться к корневому центру сертификации сертификата. (Сертификат корневого центра сертификации и промежуточный сертификат центра сертификации для VeriSign устанавливаются по умолчанию вместе с ОС Windows.)

Компьютеры, основанные на AMT

Проверка подлинности сервера

Веб-сервер

Сервер роли системы сервера основного сайта требует наличия разрешений безопасности Windows Читать и Использовать для данного шаблона сертификата.

Значение Расширенное использование ключа должно содержать Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Поле имени получателя сертификата должно содержать полное доменное имя компьютера, основанного на AMT. Это значение подставляется сервером сайта автоматически, поэтому при настройке шаблона сертификата следует использовать значение имени получателя Предоставляется в запросе.

SHA-1 — единственный поддерживаемый хэш-алгоритм.

Максимальный поддерживаемый размер ключа: 2048 бит.

Данный сертификат располагается в энергонезависимом ОЗУ контроллера управления на компьютера, и его нельзя просмотреть средствами Windows.

Сервер основного сайта запрашивает данный сертификат для каждого компьютера, основанного на AMT, который он обеспечивает. Сервер основного сайта также отзывает выданный сертификат, когда данные обеспечения AMT удаляются с компьютеров, основанных на AMT.

Для данного решения требуется наличие центра сертификации предприятия Microsoft, который автоматически одобряет запросы сертификатов с сервера основного сайта. Кроме того, центр сертификации должен иметь разрешение Выдавать сертификаты и управлять ими для сервера основного сайта. Учетная запись компьютера-сервера сайта должна иметь разрешения DCOM для запрашивания сертификатов из центра сертификации. Убедитесь, что компьютер-сервер сайта является членом группы безопасности Доступ DCOM службы сертификации (для Windows Server 2008) или CERTSVC_DCOM_ACCESS (для Windows Server 2003 SP1 и более поздних версий) в том домене, в котором находится центр сертификации.

Важно!
Когда этот сертификат устанавливается на компьютерах, основанных на AMT, всегда устанавливается цепь сертификатов до корневого центра сертификации. Компьютеры, основанные на АМТ, не поддерживают сертификаты центров сертификации, которые имеют длину ключа более 2048 бит.

После установки сертификата на компьютерах, основанных на AMT, данный сертификат подтверждает подлинность компьютеров, основанных на AMT, для сервера системы сайта внешней точки обслуживания и для компьютеров, работающих под управлением консоли внешнего управления, а также шифрует весь обмен данными между ними с использованием протокола TLS.

Дополнительный сертификат (только для Configuration Manager SP2)

Чтобы использовать сертификат клиента для поддержки внешнего управления с использованием проводных сетей с проверкой подлинности 802.1X или беспроводных сетей, требуется дополнительный сертификат PKI, описанный в следующей таблице.

Компонент Configuration Manager Использование сертификата Используемый шаблон сертификата Microsoft Особые сведения в сертификате Как используется сертификат в программе Configuration Manager

Компьютеры, основанные на AMT

Проверка подлинности клиента

Проверка подлинности рабочей станции

Сервер роли системы сервера основного сайта требует наличия разрешений безопасности Windows Читать и Использовать для данного шаблона сертификата.

Значение Расширенное использование ключа должно содержать Проверку подлинности клиента (1.3.6.1.5.5.7.3.2).

Поле имени получателя сертификата должно содержать полное доменное имя компьютера, основанного на AMT. Это значение подставляется сервером сайта автоматически, поэтому при настройке шаблона сертификата следует использовать значение имени получателя Предоставляется в запросе.

Максимальный поддерживаемый размер ключа: 2048 бит.

Данный сертификат располагается в энергонезависимом ОЗУ контроллера управления на компьютера, и его нельзя просмотреть средствами Windows.

Сервер основного сайта запрашивает данный сертификат для каждого компьютера, основанного на AMT, который он обеспечивает и впоследствии обновляет. Когда данные обеспечения AMT удаляются с компьютеров, основанных на AMT, сервер основного сайта не отзывает этот сертификат.

Для данного решения требуется наличие центра сертификации предприятия Microsoft, который автоматически одобряет запросы сертификатов с сервера основного сайта. Кроме того, центр сертификации должен иметь разрешение Выдавать сертификаты и управлять ими для сервера основного сайта. Учетная запись компьютера-сервера сайта должна иметь разрешения DCOM для запрашивания сертификатов из центра сертификации. Убедитесь, что компьютер-сервер сайта является членом группы безопасности Доступ DCOM службы сертификации (для Windows Server 2008) или CERTSVC_DCOM_ACCESS (для Windows Server 2003 SP1 и более поздних версий) в том домене, в котором находится центр сертификации.

После установки на компьютеры, основанные на AMT, данный сертификат подтверждает подлинность этих компьютеров для сервера RADIUS, после чего они могут быть авторизованы для получения доступа к сети.

См. также